Catégorie : Legaltech

Vos statuts ne sont pas un formulaire administratif. Ce sont les règles du jeu de votre entreprise – et la plupart des dirigeants les signent sans les lire.

Chaque année, des centaines de sociétés françaises se retrouvent bloquées, non pas à cause d’un marché défavorable ou d’une erreur stratégique, mais à cause d’une clause mal rédigée dans un document signé le jour de la création. Leurs statuts, téléchargés en cinq minutes sur un site gratuit, contiennent des vides juridiques qui deviennent des bombes à retardement dès que les associés ne sont plus d’accord.

Voici pourquoi vos statuts méritent autant d’attention que votre business plan.

Le modèle gratuit que tout le monde télécharge

Tapez « statuts SAS gratuit » dans Google. Vous obtenez des dizaines de modèles Word à télécharger, validés par des juristes, conformes au Code de commerce. Ils fonctionnent. Et c’est précisément le problème.

Un modèle générique couvre les mentions légalement obligatoires : dénomination, objet social, siège, capital, durée. Il vous permet de vous immatriculer. Il ne fait rien d’autre.

Ce qu’il ne couvre pas : qui décide quoi quand vous n’êtes plus d’accord avec votre associé ? Que se passe-t-il si l’un de vous veut partir ? Qui peut signer un contrat au nom de la société, et jusqu’à quel montant ? Comment se prennent les décisions stratégiques quand les deux associés ont 50% chacun ?

Ces questions ne sont pas hypothétiques. 45% des PME françaises ont subi un conflit majeur entre associés dans les cinq premières années d’existence. Le coût direct moyen d’une procédure de résolution : 23 000 euros. Le délai opérationnel perdu : quatre à six mois. Pour une structure jeune, c’est souvent fatal.

Ce que vos statuts décident réellement

Les statuts d’une SAS ou d’une SARL ne sont pas un résumé de votre projet entrepreneurial. Ce sont les règles du fonctionnement interne de votre société. Concrètement, ils déterminent :

• La répartition du pouvoir – Qui peut engager la société juridiquement ? Le président seul ? Jusqu’à quel plafond ? Faut-il une autorisation préalable du comité de direction pour certaines décisions ?
• Les règles de majorité – Quelle majorité pour modifier l’objet social ? Pour ouvrir le capital à un investisseur ? Pour céder la société ? Un associé minoritaire peut-il bloquer une décision stratégique ?
• La transmission des titres – Peut-on vendre ses parts à n’importe qui ? Existe-t-il un droit de préemption ? Une clause d’agrément ? Que se passe-t-il en cas de décès d’un associé ?
• La gestion des conflits – Y a-t-il une clause de médiation obligatoire ? Un mécanisme d’exclusion ? Une procédure de rachat forcé en cas de blocage ?
• La protection du dirigeant – Quelles sont les limites de sa responsabilité personnelle ? Peut-il engager la société sur des décisions non statutaires sans risquer une faute de gestion ?

Aucune de ces questions n’est dans votre modèle gratuit. Ou alors elle y est, avec une réponse générique qui ne correspond pas à votre configuration spécifique.

Les 5 clauses que les entrepreneurs oublient

Ces cinq clauses sont absentes de la majorité des statuts PME. Leur absence ne se voit pas au départ. Elle se voit quand ça va mal.

1. La clause de départ d’associé (good leaver / bad leaver)
Elle définit les conditions dans lesquelles un associé peut récupérer ses titres, et à quel prix, selon les circonstances de son départ. Un associé qui part après un désaccord stratégique n’a pas le même traitement qu’un associé exclu pour faute. Sans cette clause, la rupture d’association devient un contentieux pur.

2. Le plafond d’engagement du président
Dans une SAS, le président a des pouvoirs étendus par défaut. Sans limitation statutaire explicite, il peut signer n’importe quel contrat au nom de la société. Cette liberté totale est un risque réel en cas de mésentente ou de gestion hasardeuse.

3. La clause d’inaliénabilité temporaire
Elle interdit la cession de titres pendant une période déterminée. Utile pour les structures qui ouvrent leur capital à des investisseurs : elle garantit que les fondateurs restent à bord le temps de créer de la valeur.

4. Le mécanisme de sortie en cas de blocage (deadlock)
Deux associés à 50/50, un désaccord. Aucun n’a la majorité. La société est paralysée. Sans clause de sortie de blocage (arbitrage, option d’achat croisée, procédure de médiation imposée), la seule issue est judiciaire. Et judiciaire en France, ça prend du temps.

5. La clause de non-concurrence post-départ
Elle protège la société contre un associé qui partirait pour créer une structure concurrente, en emportant clients et savoir-faire. En son absence, rien n’empêche légalement ce scénario.

Le cas SAS : liberté totale, responsabilité totale

La SAS est la forme juridique préférée des entrepreneurs en France depuis plusieurs années. Sa popularité repose sur un argument : la liberté statutaire. Contrairement à la SARL, dont le fonctionnement est largement encadré par la loi, la SAS laisse aux associés le soin de tout organiser eux-mêmes.

C’est un avantage considérable pour ceux qui rédigent leurs statuts sérieusement. C’est un piège pour ceux qui copient-collent.

Dans une SARL, la loi comble les vides. Dans une SAS, le silence des statuts crée du vide. Un vide que les tribunaux interprètent à leur façon, rarement celle que vous auriez souhaitée.

Un exemple concret : dans une SAS sans clause d’agrément rédigée, un associé peut théoriquement céder ses parts à un tiers sans obtenir l’accord des autres. La loi ne l’interdit pas. Seuls vos statuts peuvent le faire.

Pour les PME en Guyane, cette réalité est amplifiée. Le Tribunal de commerce de Cayenne n’a pas la densité de jurisprudence d’une juridiction parisienne. Les délais de procédure sont plus longs. Les avocats spécialisés en droit des sociétés sont moins nombreux. Mal rédiger ses statuts en Guyane, c’est prendre un risque supérieur à la moyenne nationale pour un coût de prévention identique – un contexte que tout entrepreneur guyanais doit intégrer dès le départ.

Checklist minimale avant de signer vos statuts

Cette checklist ne remplace pas un juriste. Elle vous permet de savoir si vos statuts méritent d’en consulter un avant signature.

• [ ] Les pouvoirs du président sont-ils explicitement délimités (plafond de signature, décisions soumises à autorisation) ?
• [ ] Existe-t-il une procédure claire pour les décisions stratégiques importantes (acquisition, recrutement de cadres, changement d’objet social) ?
• [ ] Y a-t-il une clause d’agrément pour la cession de titres à des tiers ?
• [ ] Un mécanisme de sortie de blocage est-il prévu si les associés ne s’accordent plus ?
• [ ] Les conditions de départ d’un associé (volontaire ou contraint) sont-elles définies et valorisées ?
• [ ] Une clause de non-concurrence post-départ est-elle intégrée ?
• [ ] Les règles de majorité correspondent-elles à votre répartition du capital ?
• [ ] Les statuts ont-ils été relus par un professionnel du droit des sociétés – pas seulement par votre expert-comptable ?

Si vous répondez non à plus de deux points : vos statuts actuels sont un risque latent. Le coût d’une révision statutaire par un avocat en droit des affaires oscille entre 800 et 3 000 euros selon la complexité. C’est deux ordres de grandeur en-dessous du coût moyen d’un conflit associé non anticipé.

Si vous cherchez à lever des fonds ou à structurer une association avec un partenaire stratégique, tout investisseur sérieux lira vos statuts avant de signer quoi que ce soit. Des statuts mal rédigés font capoter des deals – pas parce que l’entreprise est mauvaise, mais parce qu’elle envoie un signal de gouvernance amateur.

La même logique s’applique à vos contrats commerciaux : les clauses que vous oubliez aujourd’hui sont celles qui reviennent vous hanter demain.

Le mot de la fin

Vos statuts ne sont pas un document administratif que vous déposez au greffe et oubliez. Ce sont les règles du jeu de votre entreprise. Elles s’appliquent le jour où tout va bien, et elles s’appliquent surtout le jour où tout va mal. Ce second jour arrive plus souvent qu’on ne le pense.

Prenez-les au sérieux dès le premier jour. Le formulaire, c’est pour la plaque minéralogique. La gouvernance, c’est pour votre entreprise.

♚ 1D-D1 – One Day or Day One. Parlons gouvernance et structuration →

Le droit numérique en Guyane n’a pas attendu que vous soyez prêt.

En 2026, six textes européens et nationaux frappent toute PME qui a un site, traite des données, vend en ligne ou utilise un outil IA. La distance avec Bruxelles ne change rien. Ce qui change : un tissu juridique local moins dense, des hébergeurs systématiquement hors territoire, et une rareté criante de prestataires capables d’accompagner la mise en conformité depuis Cayenne. Voici l’état réel du droit numérique pour une PME guyanaise en 2026, et le plan d’action qui tient sur une page.

Droit numérique 2026 : les six textes qui s’appliquent déjà à votre PME guyanaise

Le bloc réglementaire est entré en régime de croisière. Plus aucune des grandes échéances n’est lointaine, elles sont toutes derrière nous ou à six mois.

• RGPD – socle depuis 2018. Toujours la base de tout contrôle CNIL. Sanctions jusqu’à 4% du CA mondial.
• DSA (Digital Services Act) – pleinement applicable depuis février 2024. Concerne tout intermédiaire numérique : marketplace, hébergeur, plateforme de mise en relation. Une PME guyanaise qui exploite un site de petites annonces locales tombe dedans.
• NIS2 – transposée en droit français en 2024-2025. Étend la cybersécurité obligatoire à environ 15 000 entités françaises, dont des ETI et PME de secteurs essentiels (santé, énergie, transport, alimentation, services postaux). Plusieurs entreprises guyanaises de ces secteurs sont concernées sans le savoir.
• Loi SREN – votée mai 2024. Régule la pornographie en ligne, les arnaques, le cyberharcèlement, les jeux à objets numériques monétisables. Impact direct sur les hébergeurs et éditeurs.
• Data Act européen – applicable depuis septembre 2025. Impose le partage des données générées par les objets connectés et les services associés. Une PME qui vend des compteurs intelligents, des véhicules connectés ou des équipements industriels IoT est concernée.
• AI Act européen – les premières interdictions sont actives depuis février 2025 (notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail). Les obligations sur les modèles à usage général (GPAI) s’appliquent depuis août 2025. Le régime complet entre en vigueur en août 2026.

Aucun de ces textes n’a de version « DOM-TOM allégée ». L’éloignement géographique n’est pas un moyen de défense.

Ce qui frappe vraiment une PME guyanaise (et ce qui n’arrive jamais)

La majorité des PME du territoire fantasme un risque mal calibré. Trions.

Ce qui frappe pour de vrai :

• Plainte CNIL d’un client ou d’un ex-salarié – 14 137 plaintes en 2023 selon le rapport CNIL, en hausse continue. C’est le déclencheur numéro un d’un contrôle.
• Cyberattaque par rançongiciel – Cybermalveillance.gouv.fr a recensé plus de 280 000 demandes d’assistance en 2023, avec une croissance forte sur les TPE/PME et les collectivités. La Guyane n’est pas isolée du flux : plusieurs collectivités et entreprises locales ont été touchées en 2024-2025.
• Mise en demeure d’un fournisseur de cloud non conforme – si vous hébergez chez un acteur extra-européen, le transfert de données hors UE doit être encadré (clauses contractuelles types ou décision d’adéquation). Sinon : exposition RGPD réelle.
• Mention d’IA non déclarée dans un produit ou service – dès août 2026, l’obligation de transparence sur les systèmes IA s’applique. Un chatbot client non identifié comme IA est désormais une infraction.

Ce qui n’arrive presque jamais à une PME de moins de 50 personnes :

• Un contrôle CNIL aléatoire sans plainte déclenchante
• Une sanction maximale (4% du CA mondial) sur un premier manquement
• Une visite ANSSI sur place pour audit NIS2 spontané

Le risque réel suit toujours un déclencheur : une plainte, un incident, un signalement client. La conformité utile est celle qui vous protège quand le déclencheur arrive, pas celle qui coche toutes les cases d’un audit théorique.

Spécificités amazoniennes : hébergement, fournisseurs, sous-traitance

Trois angles morts récurrents en Guyane.

L’hébergement local quasi inexistant. Aucun datacenter de classe Tier III sur le territoire. Vos données partent forcément en métropole, en zone Caraïbe (Trinité, Miami) ou plus loin. Conséquence : vous êtes systématiquement en situation de transfert de données. Cela ne pose aucun problème si le destinataire est dans l’UE et si le contrat de sous-traitance RGPD article 28 est signé. Cela pose un vrai problème si vous utilisez sans encadrement un service américain (un CRM, un outil de visio, un stockage), car le Data Privacy Framework conclu avec les États-Unis en juillet 2023 a remplacé le Privacy Shield mais reste contesté juridiquement.

La sous-traitance métropolitaine non documentée. Beaucoup de PME guyanaises sous-traitent leur paie, leur compta, leur informatique à un cabinet ou un prestataire métropole sans avoir formalisé l’accord de sous-traitance RGPD. C’est une faille. Le donneur d’ordre reste responsable. La signature d’une convention article 28 est obligatoire et gratuite, elle se fait en quelques heures.

L’isolement face aux experts. Un avocat parisien spécialisé droit numérique facture 300 à 500 euros de l’heure. À Cayenne, le vivier est mince et orienté droit des affaires classique. La parade : passer par un cabinet en visio, ou s’appuyer sur les ressources publiques (CNIL, ANSSI, Cybermalveillance.gouv.fr) pour la couche standard, et garder le budget avocat pour les cas complexes (litige client, cyberattaque, sanction).

Le plan d’action terrain : checklist 12 points pour 2026

À exécuter dans cet ordre, par une personne identifiée en interne (DSI, RAF, ou dirigeant) avec un budget temps de 2 à 3 jours étalé sur un mois.

1. Cartographier vos traitements de données – registre CNIL article 30, modèle gratuit téléchargeable. Lister chaque finalité, chaque base de données, chaque destinataire.
2. Identifier vos sous-traitants – cabinet compta, prestataire IT, agence com, hébergeur, outils SaaS. Lister tout, même ce qui semble anodin.
3. Signer une convention article 28 avec chaque sous-traitant – modèle CNIL disponible. Refus du sous-traitant = changement de fournisseur.
4. Vérifier la localisation de vos données – pour chaque outil, lire la politique de confidentialité. Hors UE = clauses contractuelles types ou décision d’adéquation à valider.
5. Mettre à jour vos mentions légales et politique de confidentialité – obligation RGPD + DSA. Modèle conforme : voir notre guide CGV CGU.
6. Activer le double facteur sur tous les comptes critiques – email pro, hébergement, banque en ligne, CRM, compta. Sans 2FA, en 2026, vous êtes en faute professionnelle élémentaire.
7. Faire une sauvegarde 3-2-1 – 3 copies, 2 supports différents, 1 hors site. Test de restauration une fois par trimestre.
8. Documenter votre procédure d’incident – qui appelle qui, dans quel ordre, sous 72h pour la notification CNIL si fuite de données. Une page A4 suffit.
9. Identifier les systèmes IA en usage – ChatGPT pro, Copilot, outils de scoring, chatbot. Pour chacun : usage à risque selon AI Act ? Information transparente du client ?
10. Rédiger une charte d’usage IA interne – quels outils, quelles données interdites en input (clients, médical, financier), quelle relecture humaine.
11. Vérifier votre exposition NIS2 – secteur essentiel ou important ? Si oui, déclaration ANSSI obligatoire avant fin 2025 (en retard = régularisation immédiate).
12. Programmer un audit annuel – même informel, par un consultant externe ou un confrère dirigeant. Une vue extérieure trouve toujours ce que l’interne ne voit plus.

Cette checklist droit numérique ne couvre pas 100% du périmètre réglementaire. Elle couvre 80% du risque réel pour une PME guyanaise de moins de 50 personnes. Le reste se traite au cas par cas, en fonction du secteur (santé, finance, marketplace, IoT).

Le mot de la fin

Le droit numérique en Guyane n’est ni plus simple ni plus dur qu’ailleurs. Il est juste moins accompagné. Les PME qui s’organisent maintenant prennent une avance opérationnelle de 18 mois sur celles qui attendent leur première plainte. Et nous savons d’expérience qui se fait rattraper en premier : ceux qui pensaient être trop petits pour intéresser un contrôleur. Voir aussi notre guide RGPD PME et nos 7 clauses SaaS à verrouiller.

♚ 1D-D1 – One Day or Day One. Parlons stratégie →

90% des contrats SaaS signés par les PME françaises ne tiennent pas en cas de crise.

Pas par malveillance de l’éditeur. Par paresse contractuelle des deux côtés. Modèles génériques téléchargés sur GitHub, conditions générales copiées sur le concurrent, clauses Data Act absentes alors que le règlement est applicable depuis le 12 septembre 2025. Au premier incident sérieux, panne de 48h, fuite de données, hausse tarifaire unilatérale, le client découvre qu’il n’a aucun recours. L’éditeur découvre qu’il a signé un cap de responsabilité illimité.

Ce guide vous donne les 7 clauses qu’un contrat SaaS B2B doit verrouiller en 2026, avec la logique de chacune et la checklist de revue avant signature. Que vous soyez l’éditeur ou le client, la grille est la même. Les angles morts ne sont pas négociables.

Pourquoi les contrats SaaS PME sont juridiquement faibles

Trois raisons mécaniques expliquent l’état actuel du marché. La première est la vitesse commerciale : un cycle de vente SaaS PME tourne à 2-6 semaines, le contrat doit suivre, l’éditeur sort un PDF générique pour ne pas bloquer la signature. La seconde est l’asymétrie d’information : le client signe sans relire, l’éditeur n’a pas de juriste interne, personne n’identifie ce qui manque. La troisième est l’évolution réglementaire : RGPD en 2018, Data Act en 2025, loi SREN en 2024, les modèles de 2022 ne couvrent plus le périmètre.

Le coût d’un contrat faible est binaire : nul tant que tout va bien, brutal au premier litige. Sanction RGPD jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Cap de responsabilité voidé par un juge si l’éditeur est jugé gravement négligent (jurisprudence américaine déjà actée, transposable en droit français via la faute lourde). Migration impossible vers un concurrent parce que le format d’export est verrouillé. Trois scénarios qui transforment un contrat à 12k€/an en un risque à 6 chiffres.

L’objectif n’est pas de produire un contrat parfait. C’est de fermer les 7 portes par lesquelles entrent 95% des litiges SaaS B2B.

Les 7 clauses critiques à verrouiller

Voici le framework. Chaque clause répond à une question opérationnelle précise. Aucune n’est facultative dans un contrat SaaS B2B 2026.

1. Périmètre du service et engagements de niveau (SLA)

La clause SLA fixe le taux de disponibilité garanti, généralement 99,9% (soit 8h45 d’indisponibilité par an autorisée). Elle doit obligatoirement préciser trois éléments :

• Le périmètre mesuré : disponibilité de l’API, du frontend, du backoffice ? Mesurée d’où, par qui ?
• Les exclusions : maintenance planifiée annoncée 48h avant, force majeure, attaques DDoS hors périmètre du fournisseur
• Les recours en cas de manquement : crédit de service, avoir sur facture, résiliation pour manquement répété

Piège classique : un SLA à 99,9% avec des recours plafonnés à « 5% de la facture mensuelle ». Le crédit ne couvre rien et vide l’obligation essentielle. Un juge peut requalifier la clause comme abusive et rendre l’éditeur responsable du préjudice réel. Côté éditeur, mieux vaut un SLA réaliste à 99,5% tenu qu’un 99,99% non tenable affiché en plaquette commerciale.

2. Limitation de responsabilité et plafond

C’est la clause la plus négociée et la plus mal rédigée. Elle protège l’éditeur contre des dommages disproportionnés par rapport au prix du service. Standard de marché B2B : plafond égal aux 12 derniers mois de redevances payées, exclusion des dommages indirects (perte d’exploitation, perte de chance, perte de données).

Trois nuances à intégrer en 2026 :

• Exception RGPD obligatoire : la limitation ne s’applique pas aux sanctions liées à un manquement RGPD imputable à l’éditeur. Sinon, le client porte seul une amende qu’il n’a pas causée.
• Exception faute lourde et dol : en droit français, la limitation est de toute façon écartée par un juge en cas de faute lourde. Autant l’écrire clairement.
• Plafond séparé pour la sécurité des données : certains éditeurs négocient un cap supérieur (24 mois) pour les incidents de sécurité, pour rassurer les acheteurs sensibles.

3. Protection des données et sous-traitance RGPD

La clause RGPD ne se contente pas de citer le règlement. Elle doit comporter :

• Liste des sous-traitants ultimes : hébergeur (AWS, OVH, Scaleway), service emailing (Brevo, SendGrid), monitoring (Sentry, Datadog), avec localisation des données
• Procédure de notification en cas d’évolution des sous-traitants (préavis minimum, droit d’opposition du client)
• Engagement flow-down : l’éditeur impose à ses propres sous-traitants des obligations équivalentes, RGPD et sécurité
• Délai de notification d’incident : 24 à 72h après détection, conforme au timing CNIL
• Localisation des données : Union européenne par défaut, transfert hors UE soumis à clauses contractuelles types ou dérogation explicite

L’absence de DPA (Data Processing Agreement) annexé au contrat principal est un défaut éliminatoire. Un client B2B sérieux refusera de signer.

4. Réversibilité et portabilité (Data Act)

Clause nouvelle en 2026, obligatoire depuis le Data Act. L’éditeur doit garantir au client la récupération de ses données dans un format lisible, exploitable et interopérable, sans frais abusifs.

Quatre éléments à intégrer :

• Format d’export documenté : CSV, JSON, SQL dump, avec schéma de données fourni
• Préavis de résiliation : 30 jours minimum garantis par le Data Act, pendant lesquels le service reste actif
• Frais de sortie : strictement encadrés (coût marginal réel uniquement) jusqu’au 12 janvier 2027, totalement supprimés ensuite
• Suppression des données : engagement de purge totale dans un délai défini après la résiliation, avec attestation écrite

Côté éditeur, la clause de réversibilité est aussi un argument commercial. Un acheteur PME méfiant signe plus vite quand il sait qu’il peut sortir.

5. Propriété intellectuelle et droits d’usage

La règle est simple, son application moins :

• L’éditeur reste propriétaire du logiciel, du code source, des bases techniques
• Le client reste propriétaire de ses données, des contenus qu’il injecte, des configurations spécifiques qu’il paramètre
• Les développements spécifiques facturés en sus suivent un régime à clarifier (licence non exclusive, cession partielle, propriété client)

Cas particulier 2026 : si l’éditeur entraîne ses modèles d’IA sur les données client, le contrat doit l’expliciter et donner au client un droit d’opposition (opt-out) à minima. Sans cette clause, le client peut invoquer un détournement de finalité au sens RGPD.

6. Évolution unilatérale et prix

Question piège : l’éditeur peut-il modifier ses prix, ses conditions, ou retirer une fonctionnalité en cours de contrat ?

Standard équilibré :

• Augmentation tarifaire : indexation annuelle plafonnée (par exemple INSEE syntec + 2%) avec préavis de 60 jours
• Évolution fonctionnelle : l’éditeur peut faire évoluer le service, mais ne peut pas retirer une fonctionnalité essentielle sans préavis et sans option de résiliation pour le client
• Modification unilatérale des CGU : interdite sans accord express ou possibilité de résiliation pour le client

Les contrats où l’éditeur s’autorise à modifier « à tout moment » les conditions sont déséquilibrés et fragilisent juridiquement la signature.

7. Résiliation et conséquences

Trois cas distincts à traiter dans la même clause :

• Résiliation pour manquement : mise en demeure, délai de régularisation (15 à 30 jours), résiliation de plein droit si non régularisé
• Résiliation pour convenance : préavis de 30 à 90 jours selon engagement annuel ou pluriannuel, sans frais sauf période d’engagement initiale
• Résiliation immédiate : pour manquement grave de sécurité, faillite, cession à un concurrent direct

La conséquence se chaîne avec la clause 4 : préavis, période de réversibilité, suppression définitive des données, attestation. Un contrat où la résiliation n’est pas connectée à la réversibilité crée un trou opérationnel par lequel le client perd ses données.

Checklist de revue contrat avant signature

Voici la grille à appliquer avant chaque signature, côté client comme côté éditeur. Si vous cochez moins de 12 cases sur 15, ne signez pas en l’état, renvoyez le contrat avec annotations.

Périmètre et SLA

• [ ] Taux de disponibilité chiffré, périmètre défini, exclusions listées
• [ ] Recours en cas de manquement réellement compensatoire (pas un crédit symbolique)

Responsabilité

• [ ] Plafond exprimé en mois de redevances (12 ou 24)
• [ ] Exception RGPD et faute lourde explicites
• [ ] Dommages indirects exclus, dommages directs couverts

Données

• [ ] DPA annexé, sous-traitants ultimes listés
• [ ] Localisation UE confirmée (ou clauses contractuelles types pour hors UE)
• [ ] Délai de notification d’incident sous 72h

Réversibilité (Data Act)

• [ ] Format d’export documenté, schéma fourni
• [ ] Préavis 30 jours minimum, service maintenu pendant la transition
• [ ] Frais de sortie absents ou plafonnés au coût marginal réel

Propriété et évolution

• [ ] Données client = propriété client, sans usage IA non consenti
• [ ] Indexation tarifaire plafonnée et préavisée
• [ ] Pas de modification unilatérale des CGU sans option de résiliation

Résiliation

• [ ] Trois cas distincts traités (manquement, convenance, gravité)
• [ ] Chaînage avec la clause de réversibilité

Cette grille tient sur une page A4. Imprimez-la. Cochez à côté du contrat. Une signature SaaS B2B coûte facilement 10k à 100k€ par an, l’investissement de 30 minutes de revue est dérisoire au regard du risque.

Pour aller plus loin sur la base juridique de votre activité, voir aussi notre guide CGV CGU 2025 et notre méthode pour créer un SaaS en 30 jours sans budget. Si vous structurez votre offre commerciale en parallèle, complétez avec notre méthode de pricing B2B.

Le mot de la fin

Un contrat SaaS faible coûte zéro tant que tout va bien et tout quand ça va mal. Les 7 clauses ci-dessus ne sont pas du droit, c’est de la gestion du risque opérationnel. Le client qui les exige protège son activité. L’éditeur qui les rédige proprement signe plus vite et négocie mieux.

♚ 1D-D1 – One Day or Day One. Parlons stratégie →

Votre site n’a pas de CGV ou vos mentions légales datent de 2019 ? Vous exposez votre entreprise à des amendes allant jusqu’à 375 000 EUR – et vos contrats ne valent rien devant un tribunal.

La DGCCRF a réalisé 91 000 inspections en 2024. La CNIL a infligé 55,2 millions d’euros de sanctions. Le DSA est entré en vigueur en février 2024. L’EU Data Act bouleverse les SaaS dès septembre 2025. Le cadre juridique des sites web a radicalement changé en 18 mois – et la majorité des PME françaises n’a pas mis à jour ses documents légaux.

Ce guide vous donne la structure minimale viable, les outils testés et les erreurs à éviter. Comptez 30 minutes pour sortir du rouge.

CGV, CGU, mentions légales : ce que la loi exige vraiment

Trois documents distincts. Trois niveaux d’obligation. La confusion entre eux est la première source d’exposition légale.

Les mentions légales sont obligatoires pour tout site web (LCEN, Article 6). Elles identifient l’éditeur du site, l’hébergeur, et le directeur de publication. Sanction en cas d’absence : 75 000 EUR pour une personne physique, 375 000 EUR pour une société. Pas de tolérance, pas de mise en demeure préalable.

Les CGV (Conditions Générales de Vente) sont obligatoires dès qu’il y a vente à distance – produits ou services vendus en ligne, devis signés électroniquement, abonnements SaaS. Elles doivent être communiquées avant toute commande. Sanction : jusqu’à 15 000 EUR par infraction constatée par la DGCCRF.

Les CGU (Conditions Générales d’Utilisation) ne sont pas légalement obligatoires, mais elles sont indispensables dès que votre site collecte des données, héberge du contenu utilisateur, ou met en relation des tiers. Sans CGU, vous n’avez aucune base contractuelle pour limiter votre responsabilité sur ce qui se passe sur votre plateforme.

La règle de base : si vous vendez, vous avez besoin des trois. Si vous informez seulement, les mentions légales suffisent – à condition qu’elles soient complètes.

Les 5 erreurs qui rendent vos documents légaux inapplicables

Un document légal mal construit n’offre aucune protection. Pire : il peut se retourner contre vous. Voici les cinq erreurs constatées sur la majorité des sites audités.

1. Le copier-coller d’un concurrent

Plagier les CGV d’un autre site constitue du parasitisme économique. Le concurrent peut vous poursuivre pour atteinte à son droit d’auteur. Et surtout, les clauses copiées ne correspondent pas à votre modèle commercial – elles ne vous protègent pas.

2. Le consentement silencieux

Mentionner « en utilisant ce site vous acceptez nos CGU » ne suffit plus. La loi exige un consentement actif et explicite : case à cocher, signature électronique, ou validation d’un écran de conditions. Sans trace de consentement, vos CGV sont inopposables en cas de litige.

3. L’absence de clause de résiliation pour les SaaS

Depuis le décret 2023-417, tout abonnement vendu en ligne doit pouvoir être résilié en ligne via le même canal que la souscription. Depuis le 12 septembre 2025, l’EU Data Act étend cette obligation : préavis maximum de 2 mois, résiliation gratuite, sans friction. Si vos CGV prévoient encore un préavis de 6 mois ou une résiliation par courrier recommandé, elles sont non-conformes.

4. L’intégration RGPD superficielle

Mentionner « nous respectons le RGPD » sans détailler la base légale du traitement, les destinataires des données, la durée de conservation et les droits des utilisateurs expose à une sanction CNIL autonome, indépendante des sanctions DGCCRF. La CNIL a émis 143 mises en demeure au seul premier trimestre 2025.

5. Les documents statiques jamais mis à jour

Le DSA (Digital Services Act) est entré en vigueur le 17 février 2024. Il impose aux plateformes de détailler leurs politiques de modération de contenu dans les CGU. Si votre document date d’avant 2024, il manque au minimum une section obligatoire. Vérifiez la date de dernière mise à jour de vos CGU.

Outils et générateurs testés : ce qui vaut quoi

Les générateurs automatiques sont des points de départ, pas des solutions finales. Voici un comparatif honnête des options disponibles en 2025.

• Business Bacon (gratuit) – Génère des CGV en HTML prêtes à copier-coller. Interface simple, questions guidées. Limitation : clauses RGPD basiques, pas de module DSA. Convient pour un site vitrine simple ou un freelance. Score : 6/10.
• Kinic Business (gratuit) – Livraison par email en HTML. Couvre CGV + mentions légales. Plus structuré que Business Bacon, inclut un module données personnelles. Adapté aux e-commerçants classiques. Score : 7/10.
• Yiaho (IA, freemium) – Génère CGV, CGU et mentions légales par IA conversationnelle. Prend en compte votre modèle commercial sur description. Résultats variables selon la précision de vos réponses. Le plus flexible pour les cas atypiques. Score : 7/10.
• LegalStart (payant, ~150-500 EUR) – Rédaction personnalisée par des juristes, suivi des évolutions réglementaires inclus. Pertinent pour les SaaS, les marketplaces, les plateformes avec données sensibles. Seule option qui couvre réellement DSA + EU Data Act. Score : 9/10 pour les cas complexes.
• SiteConforme.fr (payant, abonnement) – Outil dédié à la conformité RGPD 2025. Génère et maintient à jour les mentions légales, politique de confidentialité et bandeau cookies. Adapté aux entreprises qui veulent déléguer la veille réglementaire. Score : 8/10.

La règle : utilisez un générateur gratuit pour comprendre la structure, faites réviser par un juriste si votre activité implique des données sensibles, des abonnements SaaS, ou des transactions supérieures à 10 000 EUR. Le coût d’une révision juridique (300-1 500 EUR) est inférieur à la première amende CNIL (50 000 EUR minimum).

Structure minimale viable : les 8 blocs obligatoires

Si vous devez construire vos CGV/CGU de zéro, voici la structure qui tient en cas de contrôle ou de litige. Adaptez chaque bloc à votre activité spécifique.

• Bloc 1 – Identification : Raison sociale, SIRET, adresse, email, téléphone, directeur de publication, hébergeur (nom + adresse). Ce bloc couvre les mentions légales LCEN.
• Bloc 2 – Objet du contrat : Description précise du service ou produit vendu. Caractéristiques essentielles. Ce qui est inclus, ce qui ne l’est pas.
• Bloc 3 – Prix et paiement : Prix TTC, modalités de paiement acceptées, délais, pénalités de retard (minimum 3x le taux légal = ~7,86%), indemnité forfaitaire de recouvrement (40 EUR minimum pour les professionnels).
• Bloc 4 – Livraison et exécution : Délais, conditions de livraison ou d’accès au service, que se passe-t-il en cas de retard.
• Bloc 5 – Droit de rétractation : 14 jours pour les consommateurs (B2C). En B2B, définir les conditions contractuelles de résiliation. Pour les SaaS : mécanisme de résiliation en ligne obligatoire, préavis maximum 2 mois depuis septembre 2025.
• Bloc 6 – Responsabilité et garanties : Limites de responsabilité, garantie légale de conformité, garantie contre les vices cachés. Clause de force majeure.
• Bloc 7 – Données personnelles : Base légale du traitement, finalités, destinataires, durée de conservation, droits des personnes (accès, rectification, suppression, opposition), contact DPO ou responsable.
• Bloc 8 – Droit applicable et litiges : Droit français, juridiction compétente, médiation de la consommation (obligatoire en B2C).

Pour les plateformes et SaaS, ajoutez un Bloc 9 – Modération et contenu (obligatoire DSA depuis février 2024) : politique de modération des contenus illicites, mécanisme de signalement, délais de traitement, possibilité de recours humain sur les décisions automatiques.

Chaque bloc doit être rédigé en français clair, sans jargon juridique inutile. Le Code civil exige que les clauses limitatives de responsabilité soient « suffisamment visibles » – ce qui, en pratique, signifie : titre explicite, corps de texte lisible, pas noyer dans 40 pages de texte en police 8.

Le mot de la fin

Un site sans CGV conformes, c’est un contrat sans signature – inutile quand le litige arrive. Deux heures aujourd’hui pour mettre vos documents à jour valent mieux qu’une convocation DGCCRF en 2026.

Commencez par auditer vos mentions légales (date de mise à jour + hébergeur identifié), puis vos CGV (clause résiliation, RGPD, pénalités de retard). Si votre activité est complexe, notre guide RGPD pour les PME complète ce travail sur la partie données personnelles. Et si vous créez votre activité en Guyane, lisez aussi notre guide d’entrepreneuriat local – les obligations légales web s’appliquent dès le premier jour d’activité.

♚ 1D-D1 – One Day or Day One. Parlons stratégie →

La CNIL a infligé 486,8 millions d’euros d’amendes en 2025 — contre 55,2 millions l’année précédente.

Neuf fois plus. Ce n’est pas une coïncidence. C’est un signal clair : le régulateur a décidé que la période de pédagogie était terminée. Pour vous, dirigeant de PME, cela signifie une chose : le RGPD n’est plus un sujet d’avocats. C’est un risque opérationnel à gérer comme n’importe quel autre.

Seulement 5 % des entreprises françaises sont pleinement conformes. Vous avez donc 95 chances sur 100 d’avoir un problème. Ce guide vous donne un protocole en 10 étapes pour sortir de cette zone de risque — sans passer six mois à lire des textes juridiques.

Ce que le RGPD vous impose concrètement

Avant les étapes, les obligations réelles. Pas la version exhaustive du juriste — la version opérationnelle du dirigeant.

1. Un registre des traitements. Vous devez documenter ce que vous faites avec les données personnelles : qui collecte quoi, pour quelle raison, pendant combien de temps. Seules 28 % des entreprises françaises en ont un. C’est l’obligation de base, et c’est aussi ce que la CNIL demande en premier lors d’un contrôle.

2. Une base légale pour chaque traitement. Vous ne pouvez pas collecter des données « parce que c’est utile ». Le RGPD exige une justification parmi six : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, ou intérêt légitime. Si vous ne savez pas quelle base s’applique à vos formulaires, votre CRM ou vos emails commerciaux — c’est un problème.

3. Des consentements conformes. 74 % des sites web français ne respectent pas les règles sur les cookies. Les cases pré-cochées sont interdites. Le refus doit être aussi simple que l’acceptation. La CNIL a sanctionné 21 entités sur ce seul sujet en 2025, dont Google (325 M€) et Shein (150 M€).

4. Des réponses aux droits des personnes. Vos clients, prospects et salariés ont le droit d’accéder à leurs données, de les corriger, de les supprimer. Vous avez 30 jours pour répondre à leurs demandes. 23 décisions de sanction en 2025 visaient spécifiquement le non-respect de ces droits.

5. Une notification en 72 heures. En cas de violation de données — fuite, piratage, accès non autorisé — vous devez alerter la CNIL sous 72 heures si la violation présente un risque pour les personnes concernées. Pas 73 heures. Pas « dès que possible ». 72 heures.

Les 3 erreurs qui déclenchent un contrôle

La CNIL ne contrôle pas au hasard. Elle cible des comportements précis. Voici ce qui met une PME sur son radar.

Erreur 1 — Ne pas répondre à une plainte. Quand un client porte plainte auprès de la CNIL parce que vous n’avez pas supprimé ses données ou ignoré sa demande d’accès, un contrôle s’ensuit presque systématiquement. C’est la porte d’entrée la plus fréquente pour les PME. La solution : créez un process interne pour traiter ces demandes en moins de 10 jours ouvrés.

Erreur 2 — Des cookies non conformes. La CNIL dispose d’outils de scan automatisé. Elle peut détecter votre non-conformité sans jamais vous contacter au préalable. Si votre bandeau cookies n’est pas conforme — case pré-cochée, pas de bouton « tout refuser », analytics actifs avant consentement — vous êtes dans la ligne de mire. Pour les petites structures, la procédure simplifiée s’applique : jusqu’à 20 000 € par violation.

Erreur 3 — Ne pas coopérer lors d’un contrôle. 27 organisations ont été sanctionnées en 2025 pour absence de coopération avec la CNIL. Refuser de répondre, ignorer les demandes, retarder la transmission de documents : ces comportements aggravent systématiquement les sanctions. Si la CNIL vous contacte, répondez dans les délais impartis.

Le protocole RGPD en 10 étapes

Voici le framework opérationnel. Chaque étape est une action concrète, pas une analyse. Vous pouvez les traiter dans l’ordre ou prioriser selon votre situation.

• Étape 1 — Cartographiez vos données. Listez tous les endroits où vous collectez des données personnelles : site web, CRM, fichier Excel RH, outil de newsletter, formulaires papier. Notez ce que vous collectez, pourquoi, et combien de temps vous le conservez.
• Étape 2 — Créez votre registre des traitements. C’est votre document central. La CNIL met à disposition un modèle Excel téléchargeable sur cnil.fr. Une heure de travail pour formaliser ce que vous faites déjà.
• Étape 3 — Documentez votre base légale. Pour chaque traitement de votre registre, indiquez la base légale. Consentement pour vos newsletters. Contrat pour les données clients. Obligation légale pour la paie. Si vous ne trouvez pas de base valide, arrêtez le traitement.
• Étape 4 — Auditez vos consentements. Parcourez votre site web comme si vous étiez un visiteur. Votre bandeau cookies est-il conforme ? Vos formulaires demandent-ils un consentement explicite pour chaque usage ? Vos cases sont-elles décochées par défaut ? La même logique d’audit que pour vos processus IA s’applique ici : on examine, on documente, on corrige.
• Étape 5 — Mettez à jour votre politique de confidentialité. Elle doit expliquer ce que vous collectez, pourquoi, avec qui vous partagez les données, combien de temps vous les conservez, et comment exercer ses droits. 55 % des PME françaises n’en ont pas. Rédigez-en une, publiez-la, et liez-la depuis chaque formulaire.
• Étape 6 — Sécurisez vos données. Chiffrement des données sensibles, contrôle d’accès (qui peut voir quoi), sauvegardes régulières, mots de passe robustes. La CNIL a adopté en 2025 le principe de « défense en profondeur » : une seule mesure de sécurité ne suffit plus. Plusieurs couches indépendantes sont requises.
• Étape 7 — Formez votre équipe. La plupart des violations de données partent d’une erreur humaine : un email envoyé à la mauvaise personne, un fichier mal partagé, un mot de passe réutilisé. Une session de 30 minutes avec vos collaborateurs sur les bonnes pratiques vaut plus que tous les documents internes que personne ne lit.
• Étape 8 — Créez votre procédure de violation. Rédigez une page A4 qui répond à : « Si on détecte une fuite de données, qui prévient qui, en combien de temps, et que dit-on à la CNIL ? » Ce document doit être accessible par email ou en affichage physique. Le délai légal est 72 heures — vous n’aurez pas le temps de chercher quoi faire au moment où ça arrive. La rapidité d’exécution sous pression, c’est une compétence qui se prépare.
• Étape 9 — Organisez vos réponses aux droits. Créez un email dédié ou un formulaire pour les demandes RGPD (ex : rgpd@votre-entreprise.fr). Mettez en place un process interne pour traiter ces demandes sous 25 jours ouvrés maximum — vous gardez 5 jours de marge sur les 30 légaux.
• Étape 10 — Désignez un référent RGPD. Pas nécessairement un juriste. Quelqu’un dans votre équipe qui prend en charge le sujet, suit les évolutions réglementaires, et met à jour le registre deux fois par an. Pour les PME de moins de 20 personnes, c’est souvent le dirigeant lui-même — au moins jusqu’à ce que la structure grandisse.

Ce que vous faites aujourd’hui — en 20 minutes

Si vous ne pouvez pas tout faire ce vendredi, commencez par trois actions qui réduisent immédiatement votre exposition :

Action 1 : Ouvrez votre site web dans un onglet privé. Vérifiez votre bandeau cookies. Si vous n’avez pas de bouton « tout refuser » visible dès la première couche, contactez votre développeur ou installez une solution comme Axeptio ou Cookiebot. Délai : 48h.

Action 2 : Téléchargez le modèle de registre des traitements sur cnil.fr. Remplissez les cinq premiers traitements que vous identifiez (newsletter, CRM, site web, paie, candidatures). Délai : 1 heure.

Action 3 : Créez un email rgpd@votre-domaine.fr et mentionnez-le dans votre politique de confidentialité. Ça coûte zéro, ça prend 10 minutes, et ça montre à la CNIL — si elle contrôle — que vous avez un process.

Ces trois actions ne vous rendent pas totalement conformes. Elles vous sortent des cibles faciles et montrent une démarche sérieuse. Dans 80 % des contrôles PME, c’est ce qu’on vous demande en premier.

Le mot de la fin

Le RGPD n’est pas là pour bloquer votre business. Il est là pour vous forcer à traiter les données de vos clients avec le sérieux qu’ils méritent. Les entreprises qui l’ont compris utilisent leur conformité comme argument commercial — elles le disent à leurs clients, elles le montrent dans leurs offres. Celles qui l’ignorent jouent à la roulette avec un régulateur qui a démontré en 2025 qu’il ne plaisante plus.

♚ 1D-D1 — One Day or Day One. Parlons stratégie →